Win32/Qhost троянская программа - Форум технической поддержки ESET NOD32

Сообщений: 9

Баллов: 4

Регистрация: 16.04.2012

Размещено 13.11.2012 09:03:00

Вылезает сообщение Win32/Qhost троянская программа .
Прошу помочь.
Образ автозапуска в uVS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 09:38:29

переделайте образ автозапуска новой версией uVS 3.76

Цитата
uVS v3.74: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

скачать можно отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/40478212

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 16.04.2012

Размещено 13.11.2012 09:55:38

Сделано.

Прикрепленные файлы

KATRIN_2012-11-13_09-49-25.7z (309.82 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:00:30

эту программу используете в работе? предоставляет возможность терминального доступа к системе.

Цитата
Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEXP.EXE Имя файла BETWINSERVICEXP.EXE Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Размер 261448 байт Создан 16.04.2012 в 12:07:33 Изменен 16.04.2012 в 12:07:31 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Оригинальное имя BeTwinService.exe Версия файла 2.00 built by: WinDDK Описание BeTwin Terminal Services Производитель ThinSoft Pte Ltd. Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка pid = 1516 NT AUTHORITY\SYSTEM CmdLine System32\BeTwinServiceXP.exe Процесс создан 08:11:07 [2012.11.13] С момента создания 01:38:22 parentid = 780 C:\WINDOWS\SYSTEM32\SERVICES.EXE LISTEN 0.0.0.0:3389 SHA1 EE1395D69AE3F87D9772A5A02A33DC44562026DA MD5 6FD6AD11E81543D3B114B4EE7CC3C2E5

Цитата

Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEXP.EXE
Имя файла BETWINSERVICEXP.EXE
Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]
Размер 261448 байт
Создан 16.04.2012 в 12:07:33
Изменен 16.04.2012 в 12:07:31
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Оригинальное имя BeTwinService.exe
Версия файла 2.00 built by: WinDDK
Описание BeTwin Terminal Services
Производитель ThinSoft Pte Ltd.

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
pid = 1516 NT AUTHORITY\SYSTEM
CmdLine System32\BeTwinServiceXP.exe
Процесс создан 08:11:07 [2012.11.13]
С момента создания 01:38:22
parentid = 780 C:\WINDOWS\SYSTEM32\SERVICES.EXE
LISTEN 0.0.0.0:3389
SHA1 EE1395D69AE3F87D9772A5A02A33DC44562026DA
MD5 6FD6AD11E81543D3B114B4EE7CC3C2E5

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:02:40

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delref HTTP://WWW.YAHOO.COM deltmp delnfr delall %SystemDrive%\DOCUMENTS AND SETTINGS\EKATRIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE regt 14 exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\EKATRIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 16.04.2012

Размещено 13.11.2012 10:15:37

Спасибо, проблем больше не обнаружено.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:18:47

выполните сканирование в малваребайт

[ Как создать образ автозапуска? ]